Click to skip the navigation bar
Search
Search Menu

Aviso de segurança sobre múltiplas vulnerabilidades no Tapo C260 (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653)

Aviso de Segurança
Atualizado em: 02-10-2026 20:50:34 PM Number of views for this article1550

Descrição de Vulnerabilidades e Impactos:

CVE-2026-0651: Path Traversal via HTTPS Local

No TP-Link Tapo C260 v1, o "path traversal" (salto de diretório) é possível devido ao tratamento inadequado de caminhos de solicitação GET específicos via HTTPS, permitindo a sondagem local não autenticada de caminhos do sistema de arquivos. Um invasor na rede local pode determinar se certos arquivos existem no dispositivo, sem possibilidades de leitura, gravação ou execução de código.

Pontuação CVSS v4.0: 5.3 / Médio

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:L/SI:N/SA:N

CVE-2026-0652: Execução Remota de Código (RCE) na Tapo C260 por Usuário Visitante

No TP-Link Tapo C260 v1, existe uma vulnerabilidade de injeção de comando devido à sanitização inadequada em certos parâmetros POST durante a sincronização de configuração. Um invasor autenticado pode executar comandos arbitrários do sistema com alto impacto na confidencialidade, integridade e disponibilidade. Isso pode causar o comprometimento total do dispositivo.

Pontuação CVSS v4.0: 8.7 / Alto

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-0653: Controle de Acesso Inseguro na Tapo D235 e C260

No TP-Link Tapo C260 v1, um usuário autenticado de nível "guest" (visitante) pode burlar as restrições de acesso pretendidas enviando solicitações manipuladas para um endpoint de sincronização. Isso permite a modificação de configurações protegidas do dispositivo, apesar dos privilégios limitados. Um invasor pode alterar parâmetros de configuração sensíveis sem autorização, resultando em manipulação do estado do dispositivo, mas não na execução total de código.

Pontuação CVSS v4.0: 7.2 / Alto

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos/Versões Afetados e Correções:

Modelo do Produto Afetado

Vulnerabilidades Relacionadas

Versão Afetada

Tapo C260 v1

CVE-2026-0651

CVE-2026-0652

CVE-2026-0653

< 1.1.9 Build 251226 Rel.55870n

 

Recomendações:

Recomendamos fortemente que os usuários com dispositivos afetados tomem as seguintes ações:

  1. Siga as instruções para atualizar para a versão de firmware mais recente para corrigir as vulnerabilidades:

Global (EN): https://www.tp-link.com/en/support/download/tapo-c260/v1/

Agradecimentos

Agradecemos ao spaceraccoon por nos reportar esses problemas de forma responsável.

Aviso Legal (Disclaimer):

Se você não tomar todas as ações recomendadas, esta vulnerabilidade permanecerá. A TP-Link não pode assumir qualquer responsabilidade por consequências que poderiam ter sido evitadas seguindo este aviso consultivo.

Procurando por mais

Esta FAQ é útil?

Seu feedback ajuda a melhorar este site.

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.